Unternehmen und anderen Verantwortliche können sich nicht allein mit dem Verweis auf Weisungen, die von unterstellten Personen verletzt wurden, von ihrer datenschutzrechtlichen Haftung befreien. Das gilt gemäss EuGH-Urteil C‑741/21 vom 11. April 2024 im Anwendungsbereich der europäischen Datenschutz-Grundverordnung (DSGVO).
Der Europäische Gerichtshof (EuGH) fällte diese Entscheidung in der Rechtssache C-741/21 mit mehreren Vorlagefragen des Landgerichts Saarbrücken in Deutschland.
Die Vorlagefrage im Zusammenhang mit Weisungen lautete wie folgt:
«Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.»
Art. 82 DSGVO betrifft die Haftung und das Recht auf Schadenersatz. Art. 82 Abs. 3 lautet wie folgt:
«Der Verantwortliche […] wird von der Haftung […] befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.»
Art. 29 DSGVO betrifft die Verarbeitung personenbezogener Daten unter der Aufsicht insbesondere eines Verantwortlichen und lautet wie folgt:
«[…] jede dem Verantwortlichen […] unterstellte Person, die Zugang zu personenbezogenen Daten hat, [darf] diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten […].»
«Es ist […] Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden.»
Verantwortliche können sich nicht allein auf ein Fehlverhalten von unterstellten Personen wie beispielsweise Arbeitnehmern in Verletzung von Weisungen berufen, sondern müssen die korrekte Ausführung der Weisungen kontrollieren (mit Hervorhebung):
«Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.»
Im Einzelnen:
«[Es] ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DSGVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist […]. Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm […] obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt […].»
«[Eine solche Haftungsbefreiung stünde] nicht im Einklang mit dem Ziel […], ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.»
Und:
«Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.
Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies nämlich […] die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.»
Ergebnis:
«Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.»
Der EuGH hat nun geurteilt, dass Weisungen allein nicht genügen, damit sich ein Verantwortlicher von seiner Haftung gemäss Datenschutz-Grundverordnung befreien kann. Motto: «Vertrauen ist gut, Kontrolle ist erforderlich.»
Die Einhaltung von Weisungen muss kontrolliert werden. Wie die Kontrolle erfolgt, überlässt der EuGH den einzelnen Verantwortlichen.
Mit einem Datenschutzreglement oder mit vergleichbaren Weisungen wird in Unternehmen und bei anderen Verantwortlichen häufig versucht, das Unternehmen als Ganzes oder mindestens die geschäftsleitenden Personen aus der Verantwortung zu nehmen.
Bild: OpenAI / ChatGPT 4.